skid

이 문제는 엄청난 낚시가 많았다...

엉뚱한 곳을 리버싱 하면서 취약점을 찾고 있었는데 알고보니 취약점은 매우 간단했다.

바로 이 auth 함수에 memcpy를 하면서 길이 검사를 안해서 fsp를 덮어쓸 수 있어 fake ebp 기법을 사용하여 익스플로잇 할 수 있었다.

간단한 문제였다.

다음과 같이 나와서 페이지 소스를 먼저 보았다.

unlock을 계산한 후 10을 나눈 것이 정답이다.

콘솔을 통해 계산해 주자.

이것을 10으로 나눈 999780930.7이 답이다.

다음과 같이 문제가 풀렸다.

다음과 같은 창이 나와 눌러보았다.

다음과 같이 코드가 나왔다.

이것을 해석해 보면 먼저 get방식으로 받은 id변수값이 admin인지 검사하여 참이면 no!를 출력한 후 종료되게 한다. - (1

그리고 id변수값을 urldecode를 해 주어 id변수에 다시 저장한다.

urlencode란 url을 통해 데이터를 전송하고자 할 때 인코딩을 해야 하는 경우에 사용된다. urlencode()함수는 인자로 전달받은 문자열 데이터를 16진수 ASCII코드로 변환하고 그 앞에 %기호를 붙인 형식으로 인코딩하여 반환한다.

그 값이 "admin"과 같으면 문제가 해결된다.

이 문제를 풀기 위해서는 admin을 urlencode 해 놓는다면 (1 에 걸리지 않고 $_GET[id] 값이 admin이 되어 문제가 풀린다.

다음 표에 맞춰서 url인코딩을 하였다.

admin -> %61%64%6d%69%6e

이때 주의해야 할 점은 url에 인코딩 된 값을 적어 넣을 때 웹브라우저에서 한 번 디코딩 된 상태로 인식되므로 두 번 인코딩 해 주어야 문제가 풀린다.

admin -> %61%64%6d%69%6e -> %2561%2564%256d%2569%256e

다음과 같이 문제가 풀렸다.

이미 문제를 풀어 다음과 같이 나와 있지만 원래

ID : guest

PW : 123qwe

였다.

index.phps를 눌러 보자.

첫 php문에서는, guest와 123qwe를 $val_id 변수와 $val_pw 변수에 넣었다.

그리고 base64로 20번 encode한 후 다시 변수에 저장하였다.

그 후 변수에 저장된 문자들을 다음과 같이 치환하였다.

그 값을 쿠키에 저장하고 첫 php문이 끝나게 된다.

2번째 php문에서는 첫번째 php문에서 수행한 코드를 반대로 수행하게 된다.

쿠키의 값을 변수에 담아 첫번째 php에서 치환한 것과 반대로 치환한 후 base64로 20번 디코딩하였다.

그 값이 admin이면 문제가 해결된다.

이 문제를 풀기 위해 쿠키에 저장되어 있는 값을 guest가 아닌 admin으로 변조해 주어야 한다.

그러기 위해서는 첫 번째 php문에서 $val_id, $val_pw에 들어간 문자열이 admin이라고 생각한 후 그곳에서 실행된 코드를 수행한 결과값을 쿠키에 저장해야 한다.

먼저 admin을 base64로 20번 인코딩 했다.

그리고 나온 값을 문자열 치환해 주기 위해 c언어로 스크립트를 작성하였다.

다음 코드로 문자열 치환한 결과값을 쿠키에 넣어주었다.

그 결과 다음과 같이 문제가 풀렸다.

다음과 같은 창이 나왔다. 코드를 살펴보자.

다음 코드에서, 우리가 눈여겨 보아야 할 부분은 javascript로 쓰여진 function문이다.

function 문을 해석해 보면 현 페이지의 url을 변수에 저장한 후 ".kr"의 인덱스 값을 ul변수에 넣어, 30을 곱한다.

그리고 그 값과 입력한 값이 일치한다면 Password를 출력하는 형식인데, Password는 ul변수와 우리가 입력한 값의 곱인 것을 알 수 있다.

그렇다면, 일단 ul변수 값에 들어간 값이 몇인지 알아보자.

크롬의 개발자 도구 콘솔창을 사용한다면 변수 값을 쉽게 사용할 수 있다.

변수 ul에 510이 들어가 있는 것을 볼 수 있다.

따라서 password는 260100일 것이다.

문제가 풀린 것을 볼 수 있다.

다음과 같은 창이 나와 index.phps에 들어가 보았다.

나온 코드 중 php문 부분만 가져왔다.

먼저 코드에서 eregi 함수를 통해

" ,/,\(,\),\t,\|,&,union,select,from,0x"

와 같은 문자열이 있으면 종료되게 하였다.

$q=@mysql_fetch_array(mysql_query("select id from challenge18_table where id='guest' and no=$_GET[no]")); 

if($q[0]=="guest") echo ("hi guest"); 

if($q[0]=="admin") 

{ 

@solve(); 

echo ("hi admin!"); 

} 

이 코드에서는, no를 받아온 것을 통해 쿼리문을 완성하여 받아온 값이 guest이면 'hi guest'를 출력하고 admin이면 문제가 풀리게 되어 있다.

select id from challenge18_table where id='guest' and no=$_GET[no]

no를 받아올 때 인젝션 시켜서 다음 id가 admin으로 인식되도록 만들어야 한다.

일단 입력 창에 여러가지 값들을 넣어 보았다.

그 중 1을 넣자 hi guest가 나왔다.

no가 2이면 admin일 것이라고 유추하고 문제를 풀어 보자.

만약 쿼리문이

select id from challenge18_table where id='guest' and no=123 or no=2

와 같이 되어 있다면 게스트 로그인에 실패하고 admin의 계정으로 로그인 될 것이다. 하지만 여기엔 공백이 들어가 있으므로 공백 우회가 필요하다.

공백 우회의 방법은 여러 가지가 있다.

1. tab - %09

2. line feed(\n) - %0a

3. carrage return(wr) - %0d

4. 주석 - /**/

5. 괄호 - ()

6. 더하기 - +

공백 우회를 이용하여 값을 입력해 보자.

그 결과 문제가 풀린 것을 확인할 수 있다.

다른 방법으로 풀어 보자.

쿼리문을

select id from challenge18_table where id='guest' and no=1 or no=2 limit 1,1

다음과 같이 전달해 주어도 문제가 풀릴 것이다.

guest 계정이 no=1로 인해 참이 되고, admin계정이 no=2로 인해 참이 되어서 guest와 admin의 결과값이 배열에 차례로 들어가게 된다.

이런 경우 admin의 값만 선택하기 위해서 limit구문을 사용한다.

여기에 공백 우회를 적용하여 값을 입력해 보자.

역시 문제가 풀린 것을 알 수 있다.

다음과 같은 창이 나온다. 소스코드를 보자.

이 코드를 보고 문제 화면에서 100, 97, 119, 115의 아스키코드표에 대응하는 문자 d, a, w, s 키를 누르면 이쁜 별이 나오는 것을 볼 수 있다.

마우스 오버를 하면 별이 사라진다.

이떄 124의 아스키코드표에 대응하는 문자 |를 누르면 답이 나온다.

이 문장에서 문자 번호를 진짜 문자로 바꾸는 fromCharCode 함수를 이용해 124를 |로 바꾼 후 현재페이지에서 그 수를 합친 것에 해당하는 주소로 이동시킨다.

다음과 같이 웹페이지가 이동되어 비밀번호가 나타났다.

4번을 들어가 보면 다음과 같이 암호화 되어 있는 걸로 보이는 문장이 나온다.

base64에는 bit수를 맞춰주기 위해 '='(padding)이 들어가는데, 위 코드 맨 뒤에 ==이 들어간 걸 보아 base64라고 유추할 수 있다(base64에 대한 자세한 내용은 암호 카테고리에서 볼 수 있다).

base64 Decode를 해 보니 다음과 같은 문자열이 나왔다. 이 문자열은 느낌상 16진수 해쉬 일 거 같다.

16진수 해쉬 중 40자리의 해시 함수를 찾아보니 sha1이 있어 sha1으로 2번 해독하니 답이 나왔다.

39번을 들어가 보면 다음과 같은 화면이 나온다.

페이지 소스를 보자. 중요한 php문은 나와있지 않다.

주석이 달린 index.phps를 주목해 보자. Php로 구성되어 있는 홈페이지에서 소스를 보기 위해서는 php 뒤에 s를 붙이면 된다. Phps는 서버 설정에서 addtype로 .phps를 php소스로 정의했을 경우에만 볼 수 있는데, 이것은 설정에서 비활성화 하여 해결이 가능한데, 개발자의 실수로 인해 phps를 이용하여 php소스를 볼 수 있는 경우가 있다.

이 문제에서는 주석을 통해 그런 취약점의 힌트를 알려주고 있다.

이제 index.phps를 주소에 적어 php 소스를 확인해 보자.

다음과 같이 코드가 나왔다.

다음 php 코드를 해석해 보자.

$_POST[id]=str_replace("\\","",$_POST[id]);
$_POST[id]=str_replace("'","''",$_POST[id]);

Str_replace 함수는 str_replace ( mixed $search , mixed $replace , mixed $subject [,int &$count ] )

다음과 같이 사용하는데, subject에서 발견한 모든 search를 주어진 replace 값으로 치환한 문자열을 반환한다.

$_POST[id]=substr($_POST[id],0,15);

substr함수는

substr ( string $string , int $start [, int $length ] )

다음과 같이 사용하는데, start와 length에 의해 잘려진 문자열을 반환한다.

$q=mysql_fetch_array(mysql_query("select 'good' from zmail_member where id='$_POST[id]"));

Mysql_fetch_array함수는 행을 배열로 반환한다.

if($q[0]=="good") @solve();

위 열에서 받은 q 값 중 q[0]이 good이면 문제가 해결된다.

이 php문을 해석한 것을 바탕으로 어떻게 문제를 풀 지 생각해 보자.

자세히 보면, q값에 배열을 넣을 때, sql쿼리문 중 id='$_POST[id]" 부분이 오류가 난다.

이때 우리가 해 주어야 할 것은 $_POST[id]에 good를 넣으면서, 오류가 나지 않게 해야 할 것이다.

다음과 같이 good를 입력하고 공백을 10칸, 그리고 '를 넣는다면 '가 ''로 바뀌어도 15번째까지 문자열을 자르므로 '이 하나만 변수에 입력되어 q[0]값이 good이 될 것이다.

문제가 풀린 것을 확인할 수 있다.